ผู้ใช้ทั่วไปสามารถตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac ได้อย่างไร?
ก่อนที่คุณจะลงคะแนนคำถามนี้หรือบรรยายให้ฉันฟังว่าฉันเป็นคนหวาดระแวงและไม่ควรมีใครทำแบบนั้นโปรดอ่านด้านล่าง
ในเดือนกรกฎาคม 2558 CVE-2015-3692เปิดเผยว่าเฟิร์มแวร์ EFI ของ Mac อาจถูกแฮกโดยผู้โจมตีจากระยะไกล (เวกเตอร์ที่มีให้สำหรับสิ่งนี้มีอยู่ใน CVE อื่น ๆ แต่อาจเป็นอะไรก็ได้รวมถึงสิ่งต่าง ๆ เช่นตัวติดตั้งการอัพเดท Flash ปลอมที่เป็นอันตราย)
ช่องโหว่นี้ก็ทำให้ประชาชนอย่างน้อยสี่สัปดาห์ก่อนที่แอปเปิ้ลปะมัน 30 กรกฏาคมสำหรับ OS X 10.8, 10.9 และ 10.10 มีการอัปเดตเฟิร์มแว EFI การรักษาความปลอดภัย 2015-001
นักวิจัยด้านความปลอดภัยคนเดียวกันซึ่งประกาศว่าช่องโหว่นี้ยังอ้างว่าได้เห็นการสาธิตในการประชุมของแฮ็คเฟิร์มแวร์ที่ไม่สามารถลบหรือเขียนทับได้
ดังนั้นเมื่อของ Mac EFI ได้รับการเป็นเจ้าของถ้าโจมตีก็ทำมันขวาแล้ววิธีเดียวที่จะ reflash EFI กับเฟิร์มแอปเปิ้ลที่ถูกต้องจะลวดขึ้น reflasher โดยตรงกับชิป EFI บนกระดานตรรกะของตัวเอง (ไม่ได้ลอง ที่บ้าน)
บทความข่าวที่รายงานว่าช่องโหว่นี้แสดงผลผิดพลาดโดยบอกว่าผู้ใช้ส่วนใหญ่ไม่ต้องกังวลและสิ่งที่คุณต้องทำเพื่อป้องกันตัวเองคืออย่าให้ Mac ของคุณเข้าสู่โหมดสลีปและปิดการใช้งานผู้ใช้รูท อย่าไว้วางใจ 100% แสดงความคิดเห็นหัวข้อในบทความเหล่านั้นโดยสรุปเช่นนี้: หากแอปทั้งหมดของคุณมาจากแหล่งที่เชื่อถือได้เช่น App Store อย่างเป็นทางการและคุณไม่เคยรันสิ่งใด ๆ ที่ไม่ได้ลงนามโดยนักพัฒนาซอฟต์แวร์ที่รู้จักโดย Apple ดังนั้นคุณไม่ควรกังวล
แต่เมื่อเดือนกันยายน 2558 เราได้เรียนรู้เกี่ยวกับการใช้ประโยชน์จาก XCodeGhostซึ่งเป็นที่ทราบกันดีว่ามีผลให้แอพที่ติดมัลแวร์จำนวนมากแสดงขึ้นบน iOS App Store อย่างเป็นทางการ - แต่สำหรับแอพ OS X ในบทความที่เชื่อมโยง Malwarebytes เขียน:
Wardle ชี้ให้เห็นว่าเมื่อเดือนมีนาคมที่ผ่านมา Xcode มีความเสี่ยงต่อสิ่งนี้ แต่ที่น่ากลัวก็ชี้ไปที่แอพ OS X อื่น ๆ อีกมากมาย แอปเหล่านี้อาจเสี่ยงต่อการถูกโจมตีที่คล้ายกัน
พวกเขายังเขียนว่า "ผู้ใช้โดยเฉลี่ยไม่ควรตื่นตระหนก" - มนต์เดียวกันกับที่ฉันมักจะเห็นนกแก้วบนฟอรัมการสนับสนุนของ Apple และที่อื่น ๆ ทุกครั้งที่ผู้ใช้โพสต์กระทู้เกี่ยวกับปัญหาแปลก ๆ ที่พวกเขามี "เพียงฟอร์แมตไดรฟ์ของคุณใหม่อีกครั้งและทำการติดตั้งระบบใหม่ทั้งหมดปัญหาน่าจะเป็นการแก้ไขระบบของบุคคลที่สาม" เราได้รับแจ้ง เมื่อไม่สามารถแก้ไขได้จะมีคนบอกว่ามันเป็นปัญหาฮาร์ดแวร์เช่น HDD ที่ล้มเหลว GPU ที่ล้มเหลวหรือ RAM ที่ไม่ดี ฉันได้เห็นหัวข้อที่ผู้ใช้แทนที่องค์ประกอบทุกตัวใน Mac ของพวกเขาและปัญหาจะกลับมาเสมอ
ตอนนี้เรารู้แล้วว่าเป็นไปได้ที่สมมุติว่าเฟิร์มแวร์ของผู้ใช้ถูกแฮ็ก - ดังนั้นแม้ว่าเมนบอร์ดของพวกเขาจะถูกแทนที่เมื่อพวกเขาติดตั้งแอพใหม่เฟิร์มแวร์ก็จะถูกมัลแวร์ และหากไม่ได้เปลี่ยนเมนบอร์ดก็จะถูกซ่อนไว้ไม่ว่าจะเกิดอะไรขึ้น
นั่นทำให้ฉันกลับไปที่คำถามหลัก
ผู้ใช้ทั่วไปสามารถตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac ได้อย่างไร? เช่นคุณจะตรวจสอบได้อย่างไรเพื่อให้แน่ใจว่าเฟิร์มแวร์ Mac ของคุณไม่เคยถูกคุกคามจากมัลแวร์? ฉันไม่พบวิธีใด ๆ ที่เข้ากันได้กับ El Capitan ที่ไม่ต้องการปิดใช้งาน SIP สำหรับระบบปฏิบัติการรุ่นก่อนมีเครื่องมือของบุคคลที่สามที่มีความซับซ้อนที่เรียกว่า DarwinDumper ซึ่งสามารถถ่ายโอนเนื้อหา EFI ของคุณไปยังไฟล์ข้อความได้ แต่คุณยังต้องมีเฟิร์มแวร์ Apple ที่ถูกต้องเพื่อเปรียบเทียบกับมันนี่ไม่ใช่วิธีที่ผู้ใช้ทั่วไป มีความสามารถในการทำ
การบอกให้ผู้คนไม่ต้องกังวลเกี่ยวกับสิ่งที่พวกเขาทำได้ดีอาจเป็นเหยื่อของและไม่มีทางที่จะตรวจสอบว่าพวกเขาเป็นสิ่งที่ทำให้การหาประโยชน์เหล่านี้เป็นประโยชน์สำหรับแฮกเกอร์ซึ่งขึ้นอยู่กับความพึงพอใจและขาดความระมัดระวัง ส่วนหนึ่งของผู้ใช้
==
แก้ไข: ผมพบว่าการติดตั้งแอปเปิ้ลอย่างเป็นทางการของเฟิร์มแวล่าสุดบนเว็บไซต์การสนับสนุนแอปเปิ้ล ตัวติดตั้งไม่ทำงานใน 10.10 หรือ 10.11 อย่างแปลก การใช้ Pacifist ฉันจะแตกไฟล์. scap สำหรับ Macbook Pro 9,1 ของฉัน ฉันเปรียบเทียบไบนารีใน HexFiend กับ biosdump ที่ฉันดึงโดยใช้ DarwinDump หลังจากรีบูตเข้าสู่โหมดการกู้คืนและทำงานcsrutil disable
บนเทอร์มินัลเพื่อปิดใช้งานรูทและเปิดใช้งานความสามารถในการเรียกใช้ kexts ที่ไม่ได้ลงนาม ฉันกู้คืนส่วนหัว BIOS นี้:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
BIOS อย่างเป็นทางการจากส่วนหัวของ Apple:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
นอกเหนือจากนั้นไฟล์นั้นดูแตกต่างกันมาก แต่ฉันเดาว่าไฟล์. scap มีการบีบอัดบางอย่าง อย่างน้อยนั่นก็บอกฉันว่าฉันได้ติดตั้งเฟิร์มแวร์ตัวล่าสุดแล้วหนึ่งตัวที่เปิดตัวหลังจากแฮ็กถูกประกาศ ฉันดี prolly จะดีมากที่จะสามารถยืนยันได้ว่าฉันทำได้ดีผ่านการตรวจสอบการตรวจสอบบางอย่าง! มองที่คุณ Apple!